удк 004.315 Н. И. Червяков [N. I. Cervyakov],
М. Г. Бабенко [M. G. Babenko] , П. А. Ляхов [P. A. Lyahov], М. А. Дерябин [M. A. Deryabin], А. В. Лавриненко [A. V. Lavrinenko]
АЛГЕБРАИЧЕСКИЕ И ПРАКТИЧЕСКИЕ АСПЕКТЫ РЕАЛИЗАЦИИ НЕйРОСЕТЕВОй ПОРОГОВОЙ СХЕМЫ РАЗДЕЛЕНИЯ СЕКРЕТА*
Algebraic and practical aspects
of the implementation of the neural network
threshold secret sharing scheme
В статье разрабатываются новые теоретические подходы к построению концепции активной безопасности на точках эллиптической кривой, в основе которых лежит новая схема совершенного разделения секрета на точках эллиптической кривой, позволяющая передать множество секретных частей и подписать сообщение с использованием хеш-функции.
Ключевые слова. Концепция активной безопасности, пороговая схема разделения секрета, система остаточных классов, эллиптическая кривая, нейронная сеть конечного кольца.
In the article is developing new theoretical approaches to the construction of the concept of active security on the points of an elliptic curve, which are based on the new scheme of perfect secret sharing on the points of an elliptic curve, permit the transfer of many secret parts and sign a message using a hash function.
Key words. The concept of active security, threshold secret sharing scheme, residue number system, elliptic curve, neural network of finite field.
На современном этапе развития информационного общества от уровня защищенности информации порой зависят жизни людей, а также безопасность государства. В чрезвычайных ситуациях, в краткосрочных войнах для обеспечения связи используют легко разворачиваемые сети (Ad-сети), однако, при передаче информации по Ad-сетям очень велика вероятность потери или прочтения сообщения [1, 2]. Основным элементом системы шифрования является секретный ключ, к генера-
Работа выполнена в рамках базовой части Государственного Задания #8581.
ции, хранению, обновлению и уничтожению которого предъявляются повышенные требования безопасности [3]. Наиболее перспективным методом управления ключами является метод активной безопасности, который базируется на периодическом обновлении ключа, одноразовых паролях и пространственном разделении секрета [4]. Системы активной безопасности являются средством противодействия активному (мобильному) противнику, имеющему возможность за определенное время «взломать» сервера, число которых определяется структурой доступа пороговой схемы. При этом предполагается, что смена секрета произойдет в момент времени, когда противник успел скомпрометировать (k - 1) ключ системы разделения секрета, где k - пороговое число абонентов. Одним из перспективных направлений исследований в этой области является построение схем разделения секрета, построенных на точках эллиптической кривой.
Первая пороговая схема проверяемого разделения секрета была предложена Chor в работе [5]. В работах [6-9] для построения алгоритмов цифровой подписи используют эллиптическую кривую, которая позволяет в 6 раз уменьшить размер поля при сохранении того же уровня безопасности. Ускорение выполнения базовых операций с точками эллиптической кривой с использованием системы остаточных классов описано в работах [10-11]. В работах [12-14] показано, что нейронная сеть, представляющая собой высокопараллельную динамическую структуру с топологией направленного графа, которая может получать выходную информацию посредством реакции её состояния на входные воздействия. Структура алгоритма обработки данных, представленных в системе остаточных классов, также как и структура нейронной сети обладают естественным параллелизмом, что позволяет использовать нейронную сеть в качестве аппарата описания алгоритма. Таким образом, задача разработки проверяемой пороговой схемы разделения секрета на точках эллиптической кривой с использованием системы остаточных классов в неройсете-вом базисе является актуальной в современной науке.
Проверяемая пороговая схема разделения секрета.
Этап 1. Инициализация.
1. Генерируется эллиптическая кривая в форме Вейерш-трассе E(Fq): y2 = х3 + ax + b, где a,b i Fq и q > 3, q - простое число, такая что | E(Fq) | = cr,
где г > 2 255 - простое число.
Так как # ЕСд (а,Ь) - число точек эллиптической кривой согласно теореме Хассе удовлетворяет следующему неравенству д - +1 <#ЕСд {а,Ъ)<д + 2Л/#ТГ [15], то основания системы остаточных классов рх, р2,...,р;. выбираются, так чтобы диапазон системы остаточных классов был больше 2(д + 2^д + 1).
2. Каждый участник схемы и (1,...,«) получает публичный ключ {Сг1 к, рх, р2рг), где G1 - аддитивная группа точек эллиптической кривой, G2 - множество целых положительных чисел, Р - образующий элемент G1, h : G1 ^ G2. Случайным образом выбирается з . е G2, вычисляется Р. = з1Р и Р. сообщается дилеру, а з . является секретным ключом. В случае если функция к является хеш-функцией, то схема разделения секрета приобретает дополнительное свойство, такое как упрощенная цифровая подпись.
3. Дилер проверяет, чтобы Р. Ф Ру, для всех IФу", в случае, если Р. = Ру для I Ф у", то дилер сообщает I и ] пользователю и они повторяют шаг 2.
Этап 2. Разделение секрета. Пусть у нас есть к секретов: К1, К2, ..., К. 1. Выбирается случайное число s е Ъ1 и публикуется зР. Вычисляются матрицы
Я,
//(^2Р)тос1 р1 к2 (^2Р)тос1 р1
где
тос! р1
/г(^77/))тос1 р1 к2 (^Р)тос1 р1 • • • к* (ssnP)mod р1
и её rang (M) = t.
Rr
1
К
к
3. Передаются проекции секрета R = (R,1, R,2, ..., R,r).
Этап 3. Восстановление секрета. Участник получает s, от t пользователей системы. Вычисляется матрица
Rr
R'
Вычисляет K с помощью K передаваемую информацию.
Этап 4. Обновление секрета. Дилер генерирует новое s/, и каждый участник в схеме вычисляет s ,'P,.
Пример 1. Этап инициализации.
1. Пусть задана эллиптическая кривая y2 = х3 + 3х +77 над простым полем F, где q = 2127 -1 = 170141183460469231 31687303715884105727, с количеством точек #Eq(3,771) = 70141183460469231752967688585001011853 =3 .7 • 8101961117165201512046080408809571993, для кодирования воспользуемся циклической группой порядка #Eq(3,771), тогда в основания системы остаточных классов выберем согласно алгоритму изложенному в работах [14, 16]: р, = 231, р2 = 232 -99 = 4294967197 , р3 = 232 -65 = 4294967231, р4=232-П = 4294967279, ps= 232-5 = 4294967291,
2. Вычисляем:
R' =HixKmodpi =
где Р = Пд = 730750787019191736665978852172324315713769570304 >2#Ед(3,77)
2. Каждый участник схемы получает публичный ключ (ЯСДЗ,77)^,Р(4,21267646447030638312596530828283033699), й), 1 20.
где а =
= 8507059173023461586584365185794205286, функцию Й определим согласно работе [17], сжатие точек эллиптической кривой в число выбирается координата х и к ней добавляется 1 бит, 0 если у < ——-, и 1 если у > ^ + Сгенерируем случайные числа si и вычисляем случайные точки, значения si и Pi занесены в таблицу:
Значение случайных чисел si и сжатия точки ЕСд(3,77) в число
№ уч.
Р,
т
1 1021814127976\ 108010739018328713152814658326893242624, 8594745243551\ 81695119854066743676482855905038109060 7057120354958
2160214780366\ 5742630562931\ 6653786485248
2 1231279418679\ 112241197867138977963464652096998966841, 8921965513934\ 63056431184810990336276680259329434141 0958812431244
2244823957342\ 7795592692930\ 4193997933682
3 3562624975781\ 16517043612818486314388087472160420407, 6137656498419\ 119119771081251331080896702243254479451 553124878463
3303408722563\ 6972628776174\ 944320840815
4 7702433479006\ 261031386699220418498555985220879835, 2837770490308\ 19145216216538702425474883764375345679 327238721662
522062773398\ 440836997111\ 970441759670
5 1509227984404\ 10704464394125626279069699780412923469, 1929346486546\ 48434444589508881736128144448132862834 8232492361177
2140892878825\ 1252558139399\ 560825846938
6 9026486931363\ 100758135138364759136789163592551810505, 1761261261337\ 95368507494962226198084172419550705615 388335627725
2015162702767\ 2951827357832\ 7185103621011
7 1329937569474\ 106756470617059214341385971037715191567, 5878333267703\ 50339231704878814654996303372901065762 3239801002439
2135129412341\ 1842868277194\ 2075430383134
5
8 1610433544353\ 76696999933380011176737987750965694993, 7349162374740\ 7825810769313285029052722651756036682 9744177184683
1533939998667\ 6002235347597\ 5501931389986
9 3135986821274\ 63510082003874474071909656522508585640, 1270201640077\
2426305175332\ 95247583833279681706154211196705594209 4894814381931\
582556154069 3045017171281
10 37253022615627\ 87575537921514207899196954626341466681, 1751510758430\
61439995621976\ 12364197107200758333695958131306149933 2841579839390\
0905627566 9252682933362
Дилер проверил, что Р, Ф Р), для всех i Ф].
Этап. Разделение секрета. Пусть нам необходимо передать пять секретов, представленных в виде матрицы
'96064274945997311266365 81067019721443 7 Л 168352136367080771711782591701893774195 столбца К= 104173553741834286180943524373615644341 18686261462671528523657331601167960239 .39915715683271712272487268396036551273 ,
Так как 96064274945997311266365810670197214437 представляется в системе остаточных классов по основаниям Р^Рг^Ръ^Р^Ръ имеет (460262629, 1611962304, 2550814698, 1185749267, 9041592), а секрета 168352136367080771711782591701893774195 имеет представление (1982331763, 2108414454, 2511029176, 3565718329, 2250372110), секрет 104173553741834286180943524373615644341 записывается в системе остаточных классов в виде(1767411381, 353032335, 1123012555, 484938290, 2077768596), секрет 18686261462671528523657331601167960239 представляется в виде (1569540271, 6171883, 4275797747, 2505042288, 2363202483) и секрет 39915715683271712272487268396036551273 представим в виде (1984459369, 817523031, 2528878295, 1592018619, 1737801646), следовательно, вектор столбец К записывается в виде
К1 = (460262629 1982331763 1767411381 1569540271 1984459369)7-, К2 =(1611962304 2108414454 353032335 6171883 817523031^, Къ =(2550814698 2511029176 1123012555 4275797747 2528878295^, К4 =(1185749267 3565718329 484938290 2505042288 1592018619^, К5 = (9041592 2250372110 2077768596 2363202483 1737801646)Г.
Вычислим матрицу Н по модулю рь получим, что
1167217152 574881792 1207959552 0 0
1126108274 808903364 1288579912 1938728464 1899934496
1822254191 2139940897 553814607 1955845185 1658809391
2064157622 1805591908 596762904 263065360 1349281120
1968618650 107646116 1316555432 1964230928 1357820832
1383173011 803141225 1932230987 1498019601 1864374723
1931259422 16567172 2120454520 1303026704 1372662240
1963762722 1617663108 60705160 2088821776 469273120
1299420497 937255841 912014065 1488972609 64570513
1526719602 251085508 1255033672 1470211600 131216160
Матрицы Н2, Н3, Н4, Н5 вычисляются аналогично Н1. Таким образом, мы видим, что записав матрицу Вандермонада в системе остаточных классов, с сохранением свойств линейно независимости, мы получаем уменьшение длины чисел в сумме 5 х 32 х 5 х 10 = 8000 бит, а без использования системы остаточных классов матрица Вандермонда 10 х (127 + 254 + 381 + 508 + 635) = 19050 бит, что позволяет сократить размер используемой памяти в 2,4 раза.
2. Найдем проекции секрета
Я1 = НХКХ =(507992576 1034799870 1875769007 2103504898 100105926 29456971 52725450 1120028910 92479253 1959609086)г
Значения Я2,Я3,Я4,^вычисляются аналогично Я1.
Для хранения секретных проекций потребуется 5x10x32 = 1600 бит, а без использования системы остаточных классов 127 х 635 х 10 — 806450 выигрыш составляет в 504 раза.
3. Передаем каждому участнику его проекции секрета Я.
Использование системы остаточных классов позволит
повысить скорость передачи информации по каналу связи в 504 раза
Этап. Восстановление секрета.
К1 =
Пусть у нас есть первых пять проекций секрета, тогда
1167217152 574881792 1207959552 0 0
1126108274 808903364 1288579912 1938728464 1899934496
1822254191 2139940897 553814607 1955845185 1658809391
2064157622 1805591908 596762904 263065360 1349281120
1968618650 107646116 1316555432 1964230928 1357820832
/ 507992576 Л 1034799870 1875769007 2103504898 100105926
' 460262629 Л 1982331763 1767411381 1569540271 1984459369
Значения К1,К3,К4,К5 вычисляются аналогично Ki. Восстанавливая секрет из К7, для 7 = 1,...,5 получим
К =
^96064274945997311266365810670197214437 4 168352136367080771711782591701893774195 104173553741834286180943524373615644341 18686261462671528523657331601167960239 39915715683271712272487268396036551273
Количество операций оценим с использованием, сколько битовых операций потребуется для нахождения всех умножений чисел при нахождении обратной матрицы: в системе остаточных классов 5 х 53 х 322 = 640000 а без использования системы остаточных классов 53 х1272 =2016125. Из чего можно сделать следующий вывод о том, что восстановление секрета в системе остаточных классов позволяет получить преимущество в 3,1 раза.
Анализ разработанной схемы разделения секрета.
Критерием применимости для всех г Ф ] и к = 1, £ является выполнение условия
Пусть простые числа р^ являются /-битными словами, а элементы группы точек эллиптической кривой #ЕСд (а,Ь) - ¿-битными. Тогда количество модулей в системе остаточных классов будет составлять г = ^ . Результатом выполнения функции к являются в свою очередь ¿-битные
числа. Таким образом, для хранения матрицы Н размером «х/ требуется
'•МП - бит 2
п „ у, , х,^ _ бИТ памяти.
получим выигрыш в
С другой стороны, для хранения матрицы H системе остаточных классов требуется n • t • 2 • L - бит памяти. Тем самым хранение матрицы H в системе остаточных классов требует меньше в t + 1 / 4 раз памяти.
Матрица R, проекция секрета, требует (t + 1) • L • n бит памяти, а матрица R, представленная в системе остаточных классов, требует 2L • n бит памяти, или в t + 1 / 2 раз меньше.
Пусть для умножения двух чисел a длины w бит и b длины s бит требуется ws битовых операций. Тогда для умножения матрицы Н на матрицу К потребуется _ битовых операций. Так как операция Hi K mod pi требует п • t • /2%итовых операций, то для вычисления Н х К требуется п • t • /2 «г операций, учитывая то, что г: (t +1 )L2 ^ (t +1 )r 2l2r
При восстановлении секрета и вычислении потребуется f ^ + битовых операций, а для вычисления в системе остаточных классов K потребуется t2 • l2 • г битовых операций. Для восстановления K из K потребуется г • t • l2 битовых операций. Значит, для восстановления секрета в системе остаточных классов требуется в
раз меньше битовых операций, чем в двоичной системе счисления.
В разработанной новой схеме разделения секрета от размера поля, над которым выбирается эллиптическая кривая по экспоненциальному закону, зависит и сложность вычислений. Поэтому для эффективной реализации схемы разделения секрета целесообразно использовать нейронную сеть конечного кольца (НС КК) [18, 19] и обычные арифметические элементы, которые выполняют арифметические операции.
Синтезированная таким образом НС может быть реализована на ПЛИС Xilinx и обеспечивает высокую эффективность при решении задач повышенной размерности, что невозможно сделать на обычных ЭВМ. Рассмотренный метод разделения данных является одним из наиболее перспективных средств безопасного хранения криптографических ключей в распределенных вычислительных сетях. Кроме того, этот метод являет-
ся составной частью новых систем криптографической защиты данных, а именно систем активной безопасности, разработка которых считается самым актуальным направлением современной криптографии. Системы активной безопасности служат для защиты от долговременных атак противника и призваны обеспечить безопасное функционирование распределенных вычислительных сетей при условии ее защищенности в течение длительного времени работы сети.
В результате применения нейронной сети конечного кольца можно получить существенное преимущество в скорости шифрования и дешифрования сообщения, что делает данную пороговую схему разделения секрета эффективной к применению. Однако для передачи сообщений по незащищенным каналам связи нам нужно проверить, является ли данная схема разделения секрета совершенной. Для этого сформулируем и докажем две теоремы.
Теорема 3. Любые ^ или более проекций секрета позволяют восстанавливать секрет.
Доказательство.
Так как группа точек эллиптической кривой является циклической, и билинейное спаривание точек эллиптической кривой ставит в соответствие прямой сумме двух аддитивных групп одну мультипликативную, то матрицу Н можно поставить в соответствии матрице
с =
ё
£2
ё ё
2г
п1
1 ~» ~' .1 £ ••• £
Рассмотрим первые ^ строк матрицы О и назовем новую матрицу
Она является матрицей Вандермонда, у которой определитель отличен от нуля, из чего следует, что строки матрицы О являются линейно независимыми. Следовательно, зная ^ или более проекций секрета мы сможем восстановить секрет, решив систему линейных уравнений, состоящую из ^ или более строк, и того же числа столбцов (неизвестных). Теорема доказана.
Теорема 4. Любые (^ - 1) или менее проекции секрета не позволяют восстановить секрет и получить о нем какую-то дополнительную информацию.
Доказательство.
Как было показано, матрица Н эквивалентна матрице О, и матрица О является матрицей Вандермонда, у которой строки являются линейно независимыми.
Так как количество переменных I, а количество известных частей - 1) или менее, то мы получим систему линейных уравнений, решением которого является пространство решений, размерность которого больше или равна 1, следовательно, система имеет множество решений, значит, вероятность выбора истинного секрета равна 0. Из всего выше сказанного можно сделать вывод о том, что, зная (^ - 1) или менее проекций секрета, злоумышленник не получит никакую дополнительную информацию о секрете.
Теорема доказана.
Из доказанных теорем 3 и 4 следует, что построенная нейросетевая схема разделения секрета является совершенной схемой разделения секрета.
В заключение можно сделать вывод о том, что разработанная схема разделения секрета на точках эллиптической кривой обладает следующими свойствами:
- из теорем 3 и 4, следует, что построенная схема разделения секрета является совершенной;
- схема разделения секрета позволяет передать за один сеанс связи множество секретов, что позволяет передавать за один сеанс связи пакет данных целиком и полностью описывающий объект, вследствие чего увеличивается пропускная способность по каналу связи;
- за счет использование хэш-функции, основанной на билинейном спаривании, мы получим схему разделения секрета с короткой цифровой подписью;
- за счет использования системы остаточных классов в среднем получается преимущество в 4,37 раза для схемы разделения секрета из 10 участников с разрешающей коалицией из 5 участников.
ЛИТЕРАТУРА 1. He J. and Dawson E. Multistage secret sharing based on one-way function. Electronics Letters, 19(30). — 1994. — Р. 1591-1592.
2. He J. and Dawson E. Multisecret-sharing scheme based on one-way function. Electronics Letters, 2(31). — 1995. — Р. 93-95.
3. Петров А. А. Компьютерная безопасность. Криптографические методы защиты. — М.: ДМК, 2000. — 448 с.
4. Червяков Н. И., Малофей О. П., Шапошников А. В., Бондарь В. В. Нейронные сети в системах криптографической защиты информации // Нейрокомпьютеры: разработка, применение. — 2001. — № 10. — С. 51-55.
5. Chor B. and Goldwasser S. Verifiable secret sharing and achieving simultaneity in the presence of faults. In Proceedings of 26th IEEE Symposium. FOCS. IEEE. — 1985. — Р. 251-260.
6. Chen W., X. Long Y.B. Bai and Gao X.P. A new dynamic threshold secret sharing scheme from bilinear maps. In International conference on parallel processing workshops, IEEE, 2007. — Р. 19-22.
7. Wang S. S. Verifiable Threshold Scheme in Multi-Secret Sharing Distributions upon Extensions of ECC. Wireless personal communications, 56(1): 2011. — Р. 173-182.
8. Koblitz N. Introduction to elliptic curves and modular forms. New York: Springer, 1993. — Р. 248.
9. Washington L. C. Elliptic curves: Number theory and cryptography. Boca Raton: CRC Press, 2009. — Р. 524.
10. Червяков Н. И., Бабенко М. Г. Алгебраические подходы к разработке алгоритмов кодирования алфавита точками эллиптической кривой // Нейрокомпьютеры: разработка, применение. — 2010. — № 9. — С. 19-25.
11. Червяков Н. И., Авербух В. М., Бабенко М. Г. и др. Приближенный метод выполнения немодульных операций в системе остаточных классов // Фундаментальные исследования. — 2012. — № 6, Часть 1. — С. 189-193.
12. Червяков Н.И., Бабенко М.Г. Пороговая схема разделения секрета на эллиптической кривой // Информационные технологии. — 2011. — № 2. — С. 41-44.
13. Червяков Н. И., Евдокимов А. А., Галушкин А. И. Применение
искусственных нейронных сетей и системы остаточных классов в криптографии. — М.: ФИЗМАТЛИТ, 2012. — 280 с.
14. Червяков Н. И., Сахнюк П. А., Шапошников А. В., Макоха А. Н.
Нейрокомпьютеры в остаточных классах. — M.: Радиотехника, 2003. — 272 с.
15. Koblitz N. A. Course in Number Theory and Cryptography. — New York: Springer-Verlag, 1994. — Р. 235.
16. Червяков Н. И., Сахнюк П. А., Шапошников А. В., Ряднов С. А.
Модулярные параллельные вычислительные структуры нейропро-цессорных систем / под ред. Н. И. Червякова. — М.: ФИЗМАТЛИТ, 2003. 288 с.
17. Smart N. Cryptography An Introduction. — New York: McGraw Hill, 2002. Р. 436.
18. Галушкин А. И. Нейрокомпьютеры. — М.: Радиотехника, 2000. — 526 с.
19. Червяков Н. И., Шапошников А. В., Сахнюк П. А. Модель и структура нейронной сети для реализации арифметики системы остаточных классов // Нейрокомпьютеры: разработка и применение. — 2006. — № 10. — С. 6-9.
ОБ АВТОРАХ Червяков Николай Иванович, доктор технических наук, профессор Северо-Кавказского федерального университета. 355000, г. Ставрополь, ул. Морозова, 105. Телефон 89054693412. E-mail: [email protected].
Бабенко Михаил Григорьевич, кандидат физико-математических наук, доцент Северо-Кавказского федерального университета. 355000, г. Ставрополь, пер. Домбайский, 14. Телефон 89187535673. E-mail: [email protected].
Ляхов Павел Алексеевич, кандидат физико-математических наук. 357736, г Кисловодск, ул. Губина, 58 (11). Телефон 89620287214. E-mail: [email protected].
Лавриненко Ирина Николаевна, ФГБОУ ВПО «Северо-Кавказский федеральный университет», Институт математики и естественных наук, кандидат физико-математических наук, доцент кафедры высшей алгебры и геометрии, тел. (8652) 35-32-73.
Chervyakov Nikolay Ivanovich, doctor of technical sciences, professor of the North-Caucasian federal university.
Babenko Makhail Grigor'evich, Candidate of Physics and Mathematical Sciences, docent of the North-Caucasian federal university Lyakhov Pavel Alekseevich, Candidate of Physics and Mathematical Sciences.
Lavrynenko Irina Nikolaevna, North Caucasian Federal University, Institute of Mathematics and Natural sciences, Candidate of physico-mathematical sciences, associate professor of the Department of Algebra and Geometry.